Официальный аккаунт Bored Ape Yacht Club (BAYC) в Instagram взломали и разместили фишинговую ссылку на перевод токенов из кошельков пользователей.
Взлом проходил при помощи рекламы «аэродропа» – бесплатной раздачи токенов для пользователей, которые подключат кошельки MetaMask. Когда контроль над аккаунтом вернули, BAYC опубликовал предупреждение о мошенничестве, но некоторые пользователей успели перейти по ссылке.
🚨There is no mint going on today. It looks like BAYC Instagram was hacked. Do not mint anything, click links, or link your wallet to anything.
— Bored Ape Yacht Club (@BoredApeYC) April 25, 2022
Скриншот, опубликованный в Twitter, показывает страницу OpenSea для учетной записи хакера, получившего более десятка NFT от проектов Bored Ape, Mutant Ape и Bored Ape Kennel Club. Позднее учетная запись была заблокирована.
annnd there goes like 100 apes to the hacker https://t.co/X2ts0mncTt pic.twitter.com/1tU2MVlpxU
— cool guy moon (@MoonOverlord) April 25, 2022
Элли Мак, глава отдела коммуникаций OpenSea, подтвердила The Verge, что хакер был заблокирован, поскольку условия обслуживания площадки запрещают мошенническое получение предметов или иное их изъятие без разрешения владельцев.
Но что находилось в кошельке хакера, можно увидеть на других криптоплатформах. По данным NFT Rarible, у хакера было 134 NFT, в том числе четыре украденных токена Bored Apes и другие предметы проектов Yuga Labs — создателей BAYC.
Стоимость каждого отдельного токена Bored Ape может достигать шестизначной суммы, если исходить из последних продаж. Самый дешевый токен, #7203, продали четыре месяца назад за 47,9 ETH ($138 тыс). А самым ценным токеном стал Bored Ape #6623, который продали три месяца назад за 123 ETH ($354,5 тыс).
Yuga Labs выясняют, как хакеру удалось взломать аккаунт. Владельцы утверждают, что была включена двухфакторная аутентификация и соблюдались все правила безопасности.
Одной из проблем, которая позволила хакеру обмануть пользователей, является то, что NFT часто хранятся в криптокошельках смартфонов, поскольку популярное приложение MetaMask поддерживает отображение токенов только на мобильных устройствах. Это также побуждает пользователей управлять NFT через приложение для смартфона, что позволяет хакерам обманывать при помощи фишинговой ссылки.
